يعتبر تأمين مواقع الويب من الأمور الضرورية والهامة في عملية بناء المواقع الإلكترونية، فهو صمام الأمان الذي يضمن إستقرار الموقع وإستمراريته، فمن الممكن بذل مجهود ضخم في بناء موقع ذو محتوى عالي الجودة ولكن قد يضيع كل ذلك المجهود بسبب تعرض الموقع للإختراق فجأة من قبل هاكر Hacker فيقوم بمسح محتويات الموقع الثمينة،  في هذه الحالة قد تخسر عدد كبير من المتابعين للموقع وربما تخسر سمعتك كموقع إلكتروني! ، لذلك من الضروري أن يكون لدى صاحب الموقع نسخة إحتياطية “Backup” للموقع تمكنه من إسترجاع الموقع في حال حدوث أي امر طاريء وقد تناولنا هذا الموضوع في تلميح سريع سابق علي معمل ألوان، لكن ماذا عن “الوقاية” من الاختراق؟ هناك خطوات من الضروري أن يقوم بها مدير الموقع ومن لديه صلاحيات الولوج للخادم ستغلق على الهاكر عدد كبير من الثغرات التي قد يستغلها في إختراق الموقع.

في هذا المقال سنتحدث عن تأمين المواقع أو “الوقاية” من الاختراق وما هي الأمور الأساسية التي يجب عليك أن تنتبه لها أثناء عملية تأمين الموقع، وسوف أطرح شكل الحماية من منظور دورين مختلفين وهما:

دور مدير المحتوى:

في حالة كونك مدير محتوى بالموقع فأنت على الأغلب سوف تستخدم أنظمة إدارة المحتوى “CMS” مثل WordPress ،Joomla ،Drupal وسيقتصر دورك على توفير بيئة آمنة للموقع دون توفير حماية بشكل عام للسيرفر، أي أنك سوف تقوم بمجموعة من الإجراءات التي تساعدك على زيادة حماية نظام إدارة المحتوى دون العمل على تأمين السيرفر من داخله كمنع بعض الدوال، تحديد الصلاحيات، تركيب بعض البرامج، والعديد من الأمور التي يختص بها مدير السيرفر، سوف أتكلم قليلاً عن بعض الأمور الواجب مراعتها لتوفير بيئة عمل أمنة لنظام WordPress:

في البداية تأكد من ترقية النظام إلى أخر إصدار لأنه سيعالج أي أخطاء كانت موجودة بالإصدار السابق مما يمكنك من الحصول على نظام خالي من أي خطأ برمجي معروف سواء كان أمني أو تقني لذلك سوف تكون بعيد نوعاً ما عن مخاطر الإختراقات التي تسببها ثغرات السكربت نفسه، وقد اعلن عن اخر اصدار لنظام ووردبريس رقم 3.8 يوم 12 ديسمبر، وصدرت النسخة العربية من WordPress 3.8 يمكن الترقيه لها الآن.

• تأكد أيضاً من ترقية الإضافات المثبتة على نظام إدارة المحتوى الي آخر اصدار منها، لأنه بالعادة ما يزيد عن 70% من الإختراقات التي تحدث لأنظمة WordPress تكون من خلال الثغرات الموجودة بالاضافات المثبتة عليه، فيجب عليك التحقق الدائم من الإضافات المثبتة على النظام سواء بمتابعتها بشكل يدوي من خلال بعض المواقع المشهورة التي توفر العديد من الثغرات في الأنظمة مثل موقع exploit-db وتقوم بالبحث عن أسماء الإضافات المثبته لديك، في حال وجدت أي إضافة تحتوي على ثغرة يجب معالجتها فوراً بالترقية إلى إصدار أحدث أو إستبدالها بإضافة أخرى، كما يمكنك بشكل دوري متابعة موقع الإضافة نفسها أو قسم الإضافات الموجود داخل موقع WordPress والتحقق من أي مشاكل توجد بالإضافة وكما ذكرت في حال وجود أي مشكلة قم بترقيعها أو إستبدالها بشكل فوري.

• قم بتثبيت بعض الإضافات التي تساعدك على زيادة أمن المدونة لديك مثل BruteProtect و  BulletProof Security فهذه الإضافات تساعد إلى حد ما توفير بيئة أكثر حماية لنظام WordPress ولكن يجب عليك أيضاً متابعة هذه الإضافات بشكل دوري لتجنب وجود مشاكل أمنية، فكما نعلم لا يوجد شيء محمي بشكل كامل حتى لو كان نظام حماية.

• تستطيع تركيب بعض الإضافات التي تقوم بعمل نسخ لقاعدة البيانات لموقعك فقط وحفظها علي مستضيف خارجي أو خدمة Cloud مثل  Dropbox أو Google Drive، فهذه الأمور مفيدة جداً في حال تم إختراق الموقع وحذف قاعدة البيانات، بهذا تضمن وجود  نسخة خارجية عن قاعدة البيانات بعيدة عن أيدي الهاكرز.

اضافة BackWPup أحد أفضل الاضافات المجانية للنسخ الاحتياطي لـ WordPress

هذه بعض الأمور الواجب مراعتها في حال كنت مدير محتوى فقط ولا علاقه لك بالخادم من الداخل، فهذه الأمور مفيدة في ضمان وجود حماية للمدونة …

في حال كان لديك صلاحيات الخادم:

في هذه الحالة يوجد لديك صلاحيات الوصول للإستضافة بشكل مباشر وتستطيع الدخول للخادم سواء من خلال CPanel ،SSH ،FTP وتستطيع التحكم بملفات الموقع وقواعد البيانات، في هذه الحالة لا بد أن تقوم ببعض الأمور الإضافية التي تضمن لك حماية الخادم الذي يستضيف نظام ادارة المحتوى الخاص بموقعك، الخطوات التي اناقشها هنا تستطيع أن تقوم بها حال كنت تملك صلاحية Root على السيرفر:

• في البداية يجب عليك التحقق من تعطيل العديد من الدوال الغير مستخدمة، أعلم أنها لا تشكل خطر أو مشاكل لك ولكن من الأفضل تعطيلها لأنها من الممكن أن تكون مهمة للهاكر حيث يجب علينا دائماً التفكير بشكل أقرب لتفكير الهاكر والتصرف بطريقة تمنعه من الوصول لمراده.

• يمكنك أيضاً تركيب حاجز عبور بسيط “Firewall” على الخادم لمنع أي محاولات للإتصال والتخمين على الخدمات ربما تكون قد إبتعدت قليلاً عن حماية التطبيق ولكنك بالأساس تُأمن القاعدة التي تحمل التطبيق ألا وهي الخادم، يمكن تركيب FireWall بسيط مثل CSF ووضع بعض القوانين البسيطه له وهنا تجد شرح مفصل للبرنامج.

• يمكنك تركيب Web Application Firewall وهو عبارة عن برنامج يساهم بالحد من ثغرات تطبيقات الويب بشكل سلس وقوي، برأيي هذه من أهم الأمور التي يجب مراعتها عند حماية أي تطبيق موجود على السيرفر ولكن يجب دراسة المواقع وكتابة قوانين الحماية لها بشكل صحيح ولا يأثر عليها.

هذه بعض الأمور الواجب مراعتها عند تركيب وحماية السيرفر وهنالك العديد من الأمور أيضاً مثل تحديد صلاحيات المستخدمين وتهيئة البنية التحتية للسيرفر ولكن هذه الأمور تعد من الأمور المتقدمة قليلاً في مجال حماية السيرفرات لذلك لن أتطرق لها حالياً.

وأتمنى أن تكون هذه الأمور مفيدة لكم و أن توفر بيئة أمنة لمواقعكم تحفظها من الإختراقات والمشاكل الأمنية.